Tratamento de dados pessoais pelo Estado


Bases legais aplicáveis no âmbito da prestação de serviço públicos


A prestação de serviços públicos é, inequivocamente, uma das principais hipóteses que demanda o tratamento de dados pessoais pelo Estado e, por consequência, desafia a advocacia pública na definição das orientações jurídicas aplicáveis, à luz da Lei Geral de Proteção de Dados Pessoais (Lei federal nº 13.709/2018, LGPD).

O tema das bases legais de tratamento de dados pessoais de que pode se valer o Poder Público já vem suscitando significativas dúvidas práticas e controvérsias doutrinárias. Cuida-se de debate ainda incipiente e pendente de maior conformação pela Autoridade Nacional de Proteção de Dados (ANPD). Nesse cenário, o presente artigo se propõe a colaborar com o debate por meio da proposição de algumas reflexões.

Em matéria de tratamento de dados pessoais pelo Estado, há que se destacar as duas bases legais previstas na LGPD que guardam maior afinidade com o agir administrativo: cumprimento de obrigação legal ou regulatória (arts. 7º, II, e 11, II, “a”) e execução de políticas públicas (arts. 7º, III, e 11, II, “b”). Em ambos os casos, está dispensada a obtenção de consentimento do titular.

Propomos as seguintes indagações: quando o tratamento de dados pessoais se der no âmbito da prestação de serviços públicos, é possível motivar o pretendido em uma das duas bases legais apresentadas? Se sim, em qual? Qual a distinção entre ambas? O consentimento do titular do dado precisa ser obtido?

Primeiramente, nos parece necessário partir da superação da visão tradicional da matéria dos serviços públicos, que a analisa a partir da posição jurídica do Estado em detrimento da dos cidadãos, passando-se a compreender a prestação de serviços públicos não mais como uma prerrogativa (exclusiva) do Estado, mas como verdadeira obrigação que lhe é imposta pelo ordenamento jurídico para a promoção e efetivação de determinado direito fundamental que assiste ao cidadão.[1]

Vale dizer, a atribuição da natureza de serviço público a dada atividade produz como consequência jurídica a criação ao Estado do dever de oferecê-la à comunidade de modo permanente, regular e a um custo acessível.[2]

Sob esta ordem de ideias, a viabilidade jurídica do tratamento de dados pessoais dos usuários de serviços públicos decorre exatamente do enquadramento da prestação dos serviços públicos como obrigação legal/constitucional imputável ao Estado, descerrando-se a aplicabilidade da base legal prevista nos arts. 7º, II, e 11, II, “a”, da LGPD, que dispensa a obtenção de consentimento.

Por outro lado, nos parece plenamente viável que, em certos casos, a prestação de serviços públicos, qualificável como obrigação legal/constitucional do Estado, possa ser igualmente objeto de uma política pública em execução, tangenciando, simultaneamente, as duas bases legais de tratamento de dados pessoais previstas nos arts. 7º, II e III, e 11, II, “a” e “b”, da LGPD, que dispensam a obtenção de consentimento.

De outro giro, afigura-se igualmente viável que, em hipóteses específicas, determinadas políticas públicas, em razão do seu estágio de desenvolvimento e implementação, não envolvam efetiva e concretamente o adimplemento de uma obrigação estatal materializado na prestação de um serviço público em favor da comunidade, caso em que será possível uma apartação entre as supracitadas bases de tratamento de dados pessoais.

Necessária aqui a análise do chamado ciclo das políticas públicas, que envolve, basicamente: (i) identificação de um problema e sua inserção na agenda governamental; (ii) formulação do plano, programa ou estratégia para a solução do problema; (iii) previsão e alocação de recursos financeiros e provisão de outros recursos; (iv) implementação e (v) análise dos resultados e, se for o caso, encerramento do programa ou projeto.[3]

Dessa grade sequencial das políticas públicas, é possível constatar que, em um primeiro momento, nos estágios de identificação do problema, de planejamento e de orçamentação, inexiste concretamente o adimplemento de uma obrigação estatal, como o oferecimento de uma utilidade pública à coletividade.

Não se pode negar, todavia, que, já nestas etapas, existe uma política pública em desenvolvimento. Isso pode ensejar, inclusive, a necessidade do tratamento de dados pessoais dos indivíduos em relação aos quais a política pública em questão é idealizada. Não por outro motivo, entendemos que a expressão “execução” constante dos arts. 7º, III, e 11, II, “b”, da LGPD não deve pressupor a existência de política pública em estágio de implementação.

Do contrário, poderia haver o comprometimento de estágios anteriores do ciclo das políticas públicas por problemas relacionados ao déficit informacional do Poder Público acerca dos destinatários das políticas em desenvolvimento.

De todo modo, a existência ou não de efetivo adimplemento de uma obrigação estatal em favor dos indivíduos titulares dos dados pessoais cujo tratamento é objetivado pela Administração Pública pode consubstanciar um critério interessante para a definição da base legal de tratamento de dados pessoais aplicável ao caso concreto.

Nesse ponto, nos parece útil a conhecida distinção entre duas classes de usuários de utilidades públicas essenciais: consumidor efetivo do serviço e consumidor potencial da utilidade pública.

Imagine-se que, na fase de desenvolvimento de uma política pública, o Estado necessite tratar dados pessoais no bojo da formulação de nova matriz de logística e transportes para atender regiões ainda não alcançadas por determinada modalidade de transporte público. Nesse caso, seria viável a incidência da base legal relativa à execução de políticas públicas.

De outro giro, ilustre-se com a hipótese de tratamento pela Administração Pública de dados pessoais de crianças matriculadas na rede pública de ensino para a oferta concreta do serviço de transporte escolar àqueles alunos (fase de implementação). O exemplo tangencia simultaneamente as bases legais relativas ao cumprimento de obrigação legal e à execução de política pública, as quais, como visto, dispensam a obtenção de consentimento.

Em tema de tratamento de dados de crianças para a prestação de serviços públicos aos menores, coloca-se em questão o art. 14, § 1º, da LGPD, que demanda a obtenção de consentimento específico e em destaque de um dos pais ou do responsável legal da criança.

Todavia, necessário destacar que o consentimento é apenas uma das bases legais de tratamento (arts. 7º, I, 11, I, LGPD), não sendo a única, tampouco hierarquicamente superior às demais.[4]

Assim, a interpretação sistemática a ser dada à legislação, a nosso ver, é a de que também podem incidir, para dados de crianças, as bases legais previstas nos arts. 7º, II, III, e 11, II, “a” e “b”, da LGPD, que dispensam o consentimento, devendo ser tutelado, em cada caso concreto, o princípio do melhor interesse (art. 14, caput, LGPD).

No exemplo do transporte escolar, incidindo as bases legais relativas ao cumprimento de obrigação legal e à execução de política pública e sendo tutelado o princípio do melhor interesse da criança, compreendemos estar dispensada a obtenção de consentimento.

De outra parte, cabe sublinhar a previsão do art. 23 da LGPD, que disciplina o tratamento de dados pessoais por pessoas jurídicas de direito público, o qual deve ser realizado para “atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.

Há quem vislumbre no art. 23 da LGPD uma base legal de tratamento autônoma para os serviços públicos, os quais não estariam abrangidos, em toda a sua amplitude, pelas bases legais dos arts. 7º e 11 da LGPD.

Todavia, compreendemos não apresentar o art. 23 da LGPD um conteúdo verdadeiramente emancipatório em relação às bases legais previstas nos arts. 7º e 11 da LGPD, que, como visto, se aplicam plenamente em tema de serviço público.

A bem da verdade, se parece difícil identificar maior autonomia no dispositivo legal em comento em face dos princípios da finalidade e da função pública, aplicáveis a toda e qualquer atividade pública, torna-se ainda mais onerosa a tarefa de sustentar a sua emancipação em relação às bases legais previstas nos arts. 7º e 11.

Trata-se de conclusão que pode ser depreendida dos próprios termos utilizados pela LGPD para qualificar as supracitadas normas. Enquanto os arts. 7º e 11 são designativos das “hipóteses” em que poderá ser legalmente realizado o tratamento de dados pessoais, constituindo “requisito” legal para o tratamento, o art. 23 fixa as “regras” que deverão ser observadas por pessoas jurídicas de direito público no exercício de tal atividade.

Conclui-se que o tratamento de dados pessoais no âmbito da prestação de serviços públicos é viável diante da fundamentação em uma das bases legais da LGPD, sendo possível a incidência tanto da hipótese prevista nos arts. 7º, II, e 11, II, “a”, relativa ao cumprimento de obrigação legal, quanto da disciplinada nos arts. 7º, III, e 11, II, “b”, concernente às políticas públicas.

Em ambos os casos, dispensa-se a obtenção de consentimento. De todo modo, é certo que se demanda a observância das regras previstas nos arts. 23 a 32 da LGPD, bem como o atendimento aos princípios incidentes na hipótese, sobretudo no que tange aos previstos no art. 6º da LGPD, com destaque para o da necessidade.

fonte: Jota